Аналитики компании Cylance раскрыли подробности новой кампании по кибершпионажу под названием «Operation Shaheen», направленной на лица, связанные с военными силами и правительственными ведомствами Пакистана. Речь идет о ранее неизвестной киберпреступной группировке, которую исследователи назвали White Company, использующей сочетание новых и уже известных техник для заражения систем вредоносным ПО.

По словам исследователей, кампания проводилась в два этапа. На первом злоумышленники рассылали фишинговые письма с ссылками на скомпрометированные интернет-сайты, а затем переключились на электронные письма, включавшие вредоносный документ Microsoft Word, содержащий троян для удаленного доступа, который, в свою очередь, устанавливал на системы жертв вредоносную программу, способную записывать нажатия клавиш, получать доступ к микрофону и камере и пр. В сообщениях указывались представляющие интерес для жертвы темы, связанные с ВВС Пакистана, правительством страны или армией Китая.

Заразив целевую систему, вредоносное ПО «заметает» следы своего пребывания и проверяет устройство на предмет наличия антивирусов, в частности Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG и Quickheal. Специалисты выявили любопытный момент – какое-то время вредонос пытается избегать детектирования антивирусными программами, однако затем позволяет себя обнаружить, причем для каждого антивируса предусмотрена своя дата. Таким образом, полагают исследователи, злоумышленники пытаются отвлечь внимание жертвы от своей деятельности в другой области сети.

Судя по признакам, деятельность White Company, скорее всего, финансируется правительством, хотя экспертам не удалось найти в инфраструктуре «Operation Shaheen» свидетельства, указывающие на связь группировки с каким-либо государством.

Источник: securitylab.ru